[0119] 一周重点威胁情报｜天际友盟情报站

热点情报

隐蔽8年的黑灰产团伙Bigpanzi揭秘
基于Go语言的窃密程序变种瞄准印度空军
印度蔓灵花组织针对我国军工行业发起钓鱼攻击
Ivanti Connect Secure零日漏洞遭到大规模利用
Androxgh0st恶意软件被用于构建云凭证盗窃僵尸网络

APT攻击

Medusa勒索软件活动披露
APT28组织滥用Search-MS协议投递恶意文件
伊朗APT35附属组织对欧美研究人员发起网络钓鱼攻击
UAC-0050组织向乌克兰安全部门分发询问主题的钓鱼邮件

技术洞察

针对macOS的信息窃取程序跟踪
攻击者使用Autoit分发Zephyr挖矿软件
BtcMine挖矿病毒隐藏在破解软件中感染主机
土耳其黑客通过MSSQL服务器传播MIMIC勒索软件
数千个WordPress网站受到Balada lnjector活动影响
恶意软件包通过PyPI传播Blank-Grabber信息窃取软件
黑客借助Windows SmartScreen漏洞部署Phemedrone窃取程序

情报详情

隐蔽8年的黑灰产团伙Bigpanzi揭秘

奇安信捕获到了一个VT 0检测率，使用变形UPX加壳的名为pandoraspear的可疑ELF样本。经进一步溯源分析，研究人员发现了一个隐蔽8年的大型黑灰产团伙：Bigpanzi。据悉，该团伙自2015年开始活跃，主要针对Android操作系统的电视、机顶盒，eCos操作系统的机顶盒。其拥有的僵尸网络规模超过10万，Bot节点则主要分布在巴西，并且不同于一般的僵尸网络通过0/N day传播，Bigpanzi团伙组建僵尸网络的主要手段是免费或廉价的满足用户的视听需求，即诱使用户安装免费的视频APP或通过固件刷机方式安装廉价的影像娱乐平台。不过，这些APP/平台均带有后门组件，一旦成功安装，设备就成了黑产团伙私建流媒体平台中的一个业务流量节点，其业务涵盖流量代理、DDoS攻击、互联网提供内容的服务(OTT)、盗版流量(Pirate Traffic)等。此外，研究人员表示，Bigpanzi不仅会实施DDoS攻击，还可利用被控制的Android电视或机顶盒不受法律法规约束地传播任何图像、声音信息。一个典型的案例如，2023年12月11日，通过瞄准阿联酋居民使用的机顶盒，最终将其常规内容被替换为显示巴以冲突的视频。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=3f73fa2b833645dab2218e9676887f57

基于Go语言的窃密程序变种瞄准印度空军

近期，CRIL发现一种针对印度空军的信息窃取程序。该程序通过特殊链接传播，链接可下载一个名为SU-30_Aircraft_Procurement.zip的恶意压缩包文件，压缩包中包含一个ISO文件，当用户安装ISO文件后，路径下将创建一个同名的lnk文件。lnk文件在执行时会触发命令执行名为.tmp.exe的可执行文件，同时向用户展示诱饵PDF文件以转移用户的注意力，诱饵文件标题为"AIR HEADQUARTERS HUMAN RESOURCE POLICY"。.tmp.exe实际是一个基于Go语言的64位可执行程序，是某Github开源程序的变种。该程序主要针对Firefox和Chrome浏览器进行窃密，窃取信息保存至JSON文件中。程序在窃取数据后，利用Slack API将窃取的数据上传到攻击者的Slack通道。由于此次活动正值印度政府采购Su-30 MKI战斗机时期，安全人员怀疑此次活动主要进行间谍行为。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=757c3d6bbfd642228730e8eea9196e70

印度蔓灵花组织针对我国军工行业发起钓鱼攻击

近日，瑞星捕获到一起印度蔓灵花组织针对我国军工行业发起的APT攻击事件。经分析发现，攻击者试图通过鱼叉式钓鱼攻击手段来投递wmRAT后门程序，以达到窃取我国军事机密的目的。
据悉，蔓灵花本次主要向我国军工行业投递带有恶意程序的钓鱼邮件附件，附件内含有恶意的CHM文件。一旦受害者点击CHM文件，就会在本地创建计划任务。该计划任务会设定每隔15到20分钟与攻击者远程服务器通信一次，继而下载MSI文件，然后在受害者电脑内植入wmRAT后门程序。其中，wmRAT作为蔓灵花组织的标志性武器，于2022年被首次披露，披露时远控指令只有16个，并且有一半的指令无实际功能，这表明蔓灵花正在积极开发该后门程序。wmRAT后门设计巧妙，不仅可规避静态查杀，还能够规避沙箱的行为检测。此次攻击中的wmRAT后门则具备截取屏幕图像、上传文件数据、获取指定URL页面内容、遍历磁盘、下载文件等恶意功能，因此具有很强的威胁性。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=6a968dc0c2174961a69ada201bffbf02

Ivanti Connect Secure零日漏洞遭到大规模利用

Volexity和Mandiant近日先后报道称，自2023年12月以来，黑客一直在利用Ivanti Connect Secure VPN设备中的两个零日漏洞来部署多个定制的恶意软件系列以用于间谍目的。据悉，目前受害者遍布全球，规模差异巨大，包括多个垂直行业的多家财富500强公司，影响行业涵盖政府、军事、电信、国防承包商、技术公司、银行、金融和会计组织、全球咨询机构以及航空航天和工程公司等。
研究人员表示，活动涉及的两个漏洞分别为CVE-2023-46805和CVE-2024-21887，它们允许攻击者绕过身份验证并向易受攻击的系统注入任意命令，相关漏洞利用组织包括UTA0178和UNC5221。攻击中使用的工具列表涉及：1)Zipline Passive Backdoor，自定义恶意软件，可拦截网络流量，支持上传/下载操作、创建反向shell/代理服务器/服务器隧道等；2)Thinspool Dropper：自定义shell脚本dropper，可将Lightwire Webshell写入Ivanti CS，以确保持久性；3)Wirefire，基于Python的自定义Webshell，支持未经身份验证的任意命令执行和负载释放；4)Lightwire：嵌入合法文件中的自定义Perl Webshell，可实现任意命令执行；5)Warpwire Harvester：基于JavaScript的自定义工具，用于在登录时收集凭据，并将其发送到C2服务器；6)PySoxy，可实现网络流量隧道的隐蔽性；7)BusyBox，多调用二进制文件，结合了各种系统任务中使用的许多Unix实用程序；8)Thinspool实用程序(sessionserver.pl)，用于将文件系统重新挂载为"读/写"以启用恶意软件部署过程；9)GLASSTOKEN，自定义Webshell，可执行任意命令并维持持久性。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=07a6896d8d6242519ab1341c8ef449ea

Androxgh0st恶意软件被用于构建云凭证盗窃僵尸网络

CISA和FBI近日警告称，攻击者正使用Androxgh0st恶意软件构建一个专注于云凭证盗窃的僵尸网络，然后再利用所窃取的信息来传播额外的恶意负载。据悉，该僵尸网络于2022年首次被Lacework Labs发现，它使用PHPUnit单元测试框架、PHP Web框架和具有远程代码执行漏洞的Apache Web服务器版本来扫描网站和服务器。其中，涉及利用的漏洞包括CVE-2017-9841(PHPUnit)、CVE-2021-41773(Apache HTTP Server)和CVE-2018-15133(Laravel)等。Androxgh0st则是一种Python脚本恶意软件，主要用于针对包含机密信息的.env文件，例如各种知名应用程序：Amazon Web Services[AWS]、Microsoft Office 365、SendGrid和Laravel Web中的Twilio的凭据应用程序框架。该恶意软件还支持许多能够利用SMTP传输协议的功能，例如扫描和利用暴露的凭据和应用程序编程接口以及部署Web shell。最终，攻击者可利用所盗取的Twilio和SendGrid凭据来冒充被入侵的公司以实施进一步的垃圾邮件活动。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=9a0d3b95981f48ccb06b1eb5f0074c4a